Über Auto-Triage-Regeln von Dependabot

Dependabot auto-triage rules sind ein leistungsstarkes Tool, das Ihnen die Verwaltung Ihrer Sicherheitswarnungen im großen Stil erleichtert. GitHub-Voreinstellungen sind Regeln, die von GitHub zusammengestellt werden, mit denen Sie eine erhebliche Menge falsch positiver Ergebnisse herausfiltern können. Mit Benutzerdefinierte Regeln für die automatische Triage lässt sich steuern, welche Warnungen ignoriert oder auf Standby gesetzt werden sollen oder ein Dependabot-Sicherheitsupdate zum Auflösen der Warnung auslösen sollen.

Wer kann dieses Feature verwenden?

People with write permissions can view Dependabot auto-triage rules for the repository. People with admin permissions to a repository can enable or disable Regeln für die automatische Triage for the repository, as well as create Benutzerdefinierte Regeln für die automatische Triage. Additionally, organization owners and security managers can set Regeln für die automatische Triage at the organization-level and optionally choose to enforce rules for repositories in the organization.

In diesem Artikel

Informationen zu Dependabot auto-triage rules

Mit Dependabot auto-triage rules können Sie Dependabot zur automatischen Triage von Dependabot alerts veranlassen. Anhand von Regeln für die automatische Triage können Sie gewisse Warnungen automatisch schließen oder auf Standby setzen oder angeben, für welche Warnungen Dependabot Pull Requests öffnen soll.

Es gibt zwei Arten von Dependabot auto-triage rules:

  • GitHub-Voreinstellungen
  • Benutzerdefinierte Regeln für die automatische Triage

Informationen zu GitHub-Voreinstellungen

GitHub-Voreinstellungen für Dependabot alerts sind Regeln, die für alle Repositorys verfügbar sind.

GitHub-Voreinstellungen sind Regeln, die von GitHub zusammengestellt werden. Die Dismiss low impact issues for development-scoped dependencies ist eine voreingestellte Regel für GitHub. Diese Regel schließt automatisch bestimmte Arten von Sicherheitsrisiken, die in npm-Abhängigkeiten gefunden werden, die in der Entwicklung verwendet werden. Die Regel wurde erstellt, um falsch positive Ergebnisse zu reduzieren und das Abstumpfen des Benutzers gegenüber Warnungen zu verhindern. Du kannst GitHub-Voreinstellungen nicht ändern. Weitere Informationen zu GitHub-Voreinstellungen findest du unter Verwenden von voreingestellten GitHub-Regeln zum Priorisieren von Dependabot-Warnungen.

Die Regel ist standardmäßig für öffentliche Repositorys aktiviert und kann für private Repositorys aktiviert werden. Sie können die Regel für ein privates Repository über die Registerkarte Einstellungen für das Repository aktivieren. Weitere Informationen findest du unter Aktivieren der Dismiss low impact issues for development-scoped dependencies-Regel für Ihr privates Repository.

Informationen zu Benutzerdefinierte Regeln für die automatische Triage

Benutzerdefinierte Regeln für die automatische Triage für Dependabot alerts sind für Repositorys von Organisationen in GitHub Enterprise Server verfügbar. Dieses Feature erfordert eine Lizenz für GitHub Advanced Security.

Mit Benutzerdefinierte Regeln für die automatische Triage können Sie Ihre eigenen Regeln erstellen, um Warnungen auf der Grundlage von gezielten Metadaten eigenen Kriterien, wie Schweregrad, Paketname, CWE, usw. automatisch zu verwerfen oder wieder zu öffnen. Sie können auch individuell festlegen, für welche Warnungen Dependabot Pull Requests öffnen soll. Weitere Informationen findest du unter Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.

Sie können benutzerdefinierte Regeln auf der Registerkarte Einstellungen des Repository erstellen, vorausgesetzt, das Repository gehört zu einer Organisation, die über eine Lizenz für GitHub Advanced Security verfügt. Weitere Informationen finden Sie unter Hinzufügen von benutzerdefinierten Regeln für die automatische Selektierung zu Ihrem Repository.

Informationen zum automatischen Schließen von Warnungen

Auch wenn es sinnvoll ist, automatische Triage-Regeln zu verwenden, um Warnungsmeldungen automatisch zu verwerfen, können Sie automatisch verworfene Warnmeldungen erneut öffnen und filtern, um zu sehen, welche Warnmeldungen automatisch verworfen wurden. Weitere Informationen findest du unter Verwalten von Warnungen, die von einer Dependabot-Auto-Triage-Regel automatisch geschlossen wurden.

Darüber hinaus stehen automatisch verworfene Warnungsmeldungen weiterhin für Berichte und Überprüfungen zur Verfügung und können automatisch wieder geöffnet werden, wenn sich z. B. die Metadaten der Warnmeldung ändern:

  • Wenn du den Bereich einer Abhängigkeit von der Entwicklung in die Produktion änderst.
  • Wenn GitHub bestimmte Metadaten für die entsprechende Empfehlung ändert.

Automatisch verworfene Warnungen werden durch den Grund für die Schließung resolution:auto-dismiss definiert. Die Aktivität der automatischen Schließung ist in Warnungswebhooks, REST- und GraphQL-APIs sowie im Überwachungsprotokoll enthalten. Weitere Informationen finden Sie unter „REST-API-Endpunkte für Dependabot alerts“ und im Abschnitt „repository_vulnerability_alert“ in „Auditprotokoll deiner Organisation überprüfen“.

Weiterführende Themen